{"id":1259262,"date":"2024-07-01T12:45:08","date_gmt":"2024-07-01T12:45:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/seguridad-secreta-de-un-extremo-a-otro-elaboracion-de-un-plan-para-proteger-las-identidades-de-sus-maquinas\/"},"modified":"2024-07-01T12:45:12","modified_gmt":"2024-07-01T12:45:12","slug":"seguridad-secreta-de-un-extremo-a-otro-elaboracion-de-un-plan-para-proteger-las-identidades-de-sus-maquinas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/seguridad-secreta-de-un-extremo-a-otro-elaboracion-de-un-plan-para-proteger-las-identidades-de-sus-maquinas\/","title":{"rendered":"Seguridad secreta de un extremo a otro: elaboraci\u00f3n de un plan para proteger las identidades de sus m\u00e1quinas"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

En el coraz\u00f3n de cada aplicaci\u00f3n est\u00e1n los secretos. Credenciales que permiten la comunicaci\u00f3n de persona a m\u00e1quina y de m\u00e1quina a m\u00e1quina. Las identidades de las m\u00e1quinas superan en n\u00famero a las identidades humanas factor de 45 a 1<\/a> y representan la mayor\u00eda de los secretos de los que debemos preocuparnos. De acuerdo a Investigaciones recientes de CyberArk<\/a>, el 93% de las organizaciones tuvieron dos o m\u00e1s violaciones relacionadas con la identidad en el \u00faltimo a\u00f1o. Est\u00e1 claro que debemos abordar este problema cada vez mayor. Adem\u00e1s, est\u00e1 claro que muchas organizaciones est\u00e1n de acuerdo con el uso de credenciales de texto sin formato para estas identidades en repositorios privados, pensando que permanecer\u00e1n privadas. Sin embargo, la mala higiene en el c\u00f3digo privado conduce a filtraciones p\u00fablicas, como vemos con demasiada frecuencia en las noticias. Dado el alcance del problema, \u00bfqu\u00e9 podemos hacer? <\/p>\n

Lo que realmente necesitamos es un cambio en nuestros procesos, especialmente en torno a la creaci\u00f3n, el almacenamiento y el trabajo con identidades de m\u00e1quinas. Afortunadamente, hay un camino claro a seguir, combinando las soluciones de gesti\u00f3n de secretos existentes y las herramientas de detecci\u00f3n y remediaci\u00f3n de secretos, todo ello sin dejar de encontrar a los desarrolladores donde est\u00e9n.<\/p>\n

Elaboraci\u00f3n de un plan de seguridad de secretos de extremo a extremo<\/h2>\n

Cuando pensamos en solucionar el problema de identidad de la m\u00e1quina, tambi\u00e9n conocido como proliferaci\u00f3n de secretos, podemos explicar el problema en un par de oraciones. <\/p>\n

Tenemos una cantidad desconocida de secretos de texto plano v\u00e1lidos y de larga duraci\u00f3n repartidos por nuestro c\u00f3digo, configuraciones, canalizaciones de CI, sistemas de gesti\u00f3n de proyectos y otras fuentes, que no podemos explicar y sin una estrategia de rotaci\u00f3n coherente. Mientras tanto, los desarrolladores contin\u00faan trabajando con secretos en texto plano, ya que es una forma confiable, aunque problem\u00e1tica, de hacer que la aplicaci\u00f3n funcione.<\/em>” <\/p>\n

Pensando en esta definici\u00f3n pr\u00e1ctica, podemos elaborar un plan de varios pasos para abordar cada inquietud. <\/p>\n

    \n
  1. Detecci\u00f3n de secretos: busque en el c\u00f3digo y los sistemas involucrados en el ciclo de vida del desarrollo de software para identificar las credenciales de texto sin formato existentes, recopilando la mayor cantidad de informaci\u00f3n posible sobre cada una. <\/li>\n
  2. Gesti\u00f3n de secretos: contabilidad de todos los secretos conocidos a trav\u00e9s de una plataforma de b\u00f3veda centralizada.<\/li>\n
  3. Flujos de trabajo del desarrollador: ajuste los procesos y las herramientas para que sea m\u00e1s f\u00e1cil crear, almacenar y llamar secretos de forma segura. <\/li>\n
  4. Escaneo de secretos: monitoreo continuo de nuevos secretos que se agregan en texto sin formato. <\/li>\n
  5. Rotaci\u00f3n autom\u00e1tica: el reemplazo regular de secretos v\u00e1lidos acorta su posible explotaci\u00f3n por parte de actores maliciosos. <\/li>\n<\/ol>\n

    Puede emprender este viaje paso a paso, trat\u00e1ndolo como una implementaci\u00f3n por fases. Antes de que te des cuenta, estar\u00e1s mucho m\u00e1s cerca de eliminar los secretos y proteger todas las identidades de tus m\u00e1quinas. <\/p>\n

    Encontrando tus secretos <\/h2>\n

    El primer problema que encuentra todo equipo cuando intenta controlar la expansi\u00f3n de los secretos es determinar qu\u00e9 secretos tienen. Un esfuerzo de b\u00fasqueda manual para rastrear secretos desconocidos abrumar\u00eda r\u00e1pidamente a cualquier equipo, pero afortunadamente, existen herramientas de escaneo de secretos, como GitGuardian<\/a>que puede automatizar este proceso y brindar informaci\u00f3n sobre detalles cr\u00edticos. Desde una plataforma estable, debe proporcionar una v\u00eda de comunicaci\u00f3n para trabajar con los desarrolladores para solucionar el problema. <\/p>\n

    Implementaci\u00f3n de una b\u00f3veda de secretos centralizada<\/h2>\n

    Un elemento central de cualquier buena estrategia de gesti\u00f3n de secretos es gestionar c\u00f3mo se almacenan y utilizan los secretos. Las b\u00f3vedas empresariales le permiten contabilizar de forma transparente todos los secretos conocidos, cifr\u00e1ndolos en reposo y en tr\u00e1nsito. Una buena soluci\u00f3n de b\u00f3veda, que incluye Conjurar desde Cyberark<\/a> y Empresa de b\u00f3veda de Hashicorp<\/a>. Si toda su infraestructura es del mismo proveedor, como por ejemplo AWS o GCP, son muy buenas opciones<\/a> tambi\u00e9n. <\/p>\n

    Asegurar el flujo de trabajo del desarrollador<\/h2>\n

    Hist\u00f3ricamente, la gesti\u00f3n de secretos se ha dejado en manos de los desarrolladores, lo que ha llevado a una amplia variedad de soluciones como archivos `.env` y, desafortunadamente, a codificar secretos en el c\u00f3digo base. Aprovechar una soluci\u00f3n de b\u00f3veda centralizada ofrece a los desarrolladores una forma coherente de invocar de forma segura las credenciales de sus aplicaciones en todos los entornos. Si puede ofrecer un enfoque estandarizado que sea tan f\u00e1cil de implementar como lo que est\u00e1n haciendo actualmente, encontrar\u00e1 que muchos desarrolladores aprovechar\u00e1n la oportunidad para garantizar que sus implementaciones no est\u00e9n bloqueadas debido a este problema de seguridad. <\/p>\n

    Tambi\u00e9n querr\u00e1 considerar la posibilidad de desplazarse a la izquierda. Las herramientas de l\u00ednea de comandos, como ggshield, permiten a los desarrolladores agregar ganchos Git autom\u00e1ticos para escanear las credenciales de texto sin formato antes de realizar cualquier confirmaci\u00f3n. Impedir que un secreto llegue a una confirmaci\u00f3n significa que no habr\u00e1 incidentes con los que lidiar m\u00e1s adelante y se solucionar\u00e1 el problema en el punto menos costoso del ciclo de vida del desarrollo de software.<\/p>\n

    Escaneo secreto en cada interacci\u00f3n compartida<\/h2>\n

    Tambi\u00e9n es necesario tener en cuenta la realidad de que, a veces, ocurren accidentes. Es necesario realizar un seguimiento constante para detectar nuevos problemas que surjan cuando los desarrolladores existentes cometan errores o cuando se contraten nuevos equipos o subcontratistas que simplemente a\u00fan no conocen los procesos. Al igual que cuando se detectan secretos por primera vez, el uso de una plataforma que recopile la informaci\u00f3n en un incidente coherente le ayudar\u00e1 a responder r\u00e1pidamente a estos nuevos problemas. GitGuardian, por ejemplo, se integra a nivel del repositorio de c\u00f3digo para capturar nuevas credenciales de texto sin formato en segundos, de forma autom\u00e1tica en cada inserci\u00f3n o comentario. <\/p>\n

    Las credenciales de corta duraci\u00f3n deber\u00edan ser el objetivo de la rotaci\u00f3n autom\u00e1tica<\/h2>\n

    Si un atacante encuentra un secreto v\u00e1lido, su trabajo ser\u00e1 mucho m\u00e1s sencillo, ya que puede desbloquear cualquier puerta que encuentre. Si ese mismo atacante encuentra un secreto no v\u00e1lido, no podr\u00e1 hacer mucho con \u00e9l. Con una b\u00f3veda centralizada, puede implementar planes de rotaci\u00f3n autom\u00e1tica. La mayor\u00eda de las plataformas y servicios modernos tienen una forma de generar nuevas credenciales mediante una llamada API y una forma de invalidar los secretos existentes. Con un poco de scripting, siguiendo una de las muchas gu\u00edas publicadas por plataformas como AWS o CyberArk, es posible automatizar el reemplazo seguro de cualquier credencial en un horario regular, incluso diario. <\/p>\n

    La seguridad de los secretos de extremo a extremo requiere un plan<\/h2>\n

    El mejor momento para abordar los problemas relacionados con la seguridad de los secretos de un extremo a otro es ahora. Si a\u00fan no tiene un plan de acci\u00f3n, hoy es el mejor momento para comenzar a tener esas conversaciones. Empiece por hacer preguntas como “\u00bfqu\u00e9 secretos tenemos?” o “\u00bfTiene una b\u00f3veda?” En \u00faltima instancia, debemos capacitar a los desarrolladores con flujos de trabajo y barreras de seguridad que les permitan centrarse en su flujo de desarrollo. <\/p>\n

    Mantenerse alerta para que se descubran nuevos secretos y se aborden de inmediato es un proceso continuo. Requerir\u00e1 esfuerzo, incluida la concientizaci\u00f3n y la adopci\u00f3n de los procesos y las tecnolog\u00edas correctos, pero cualquier empresa puede controlar mejor las identidades y los secretos de las m\u00e1quinas, de extremo a extremo, en toda la organizaci\u00f3n.<\/p>\n

    <\/p>\n

    \u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n